8
Portweiterleitung über 2 Subnetze geht nicht (Linksys AG241 und WRT54GL)
Hallo,
ich habe mein Netzwerk von einem Subnetz hinter einem DSLModem AG241 auf 2 Subnetze (AG241 -> WRT54GL) umgestellt. Alle Verbindungen von Innen heraus funktionieren problemlos.
Nun möchte ich von Außen über DDNS Zugriff auf diverse Dinge im 2. Subnetz hinter dem WRT haben, so wie ich es auch schon vorher hatte, wo meine Endgeräte direkt hinter AG241 hingen. Dazu habe ich meine Portweiterleitung und -freigaben auf dem AG241 so eingerichtet, dass alle benötigen Ports 1:1 auf die IP des WRT geleitet werden und der WRT dann die eigentliche Portumsetzung macht. Der AG hat die IP 192.168.2.1 und der WRT von 192.168.2.2 (Außen) und 192.168.1.1 (Innen)
Beispiel vorher auf dem AG241:
Port 5000 -> Port 8080 von 192.168.1.24 (hat funktioniert)
Jetzt auf dem AG241 UND WRT:
Port 5000 -> Port 5000 von 192.168.2.2 (=WRT) und dort dann Port 5000 -> Port 8080 von 192.168.1.24 (geht nicht)
Leider funktioniert das nicht (Vorher mit nur einem Subnetz allerdings prima).
Hat jemand eine Idee, woran das liegen könnte? Bin mir auch nicht sicher, ob dies so überhaupt möglich ist bzw. an welchem Gerät der Fehler liegt. Immerhin hat es früher mit dem AG funktioniert. LinkLogger zeigt mir allerdings auch keinen ankommenden Traffic auf dem WRT an.
Zur Info: Der AG läuft unter Firmware "7.01.04-Phoenix" und der WRT unter "v4.71.1, Hyperwrt 2.1b1 + Thibor15c"
Danke vielmals
ich habe mein Netzwerk von einem Subnetz hinter einem DSLModem AG241 auf 2 Subnetze (AG241 -> WRT54GL) umgestellt. Alle Verbindungen von Innen heraus funktionieren problemlos.
Nun möchte ich von Außen über DDNS Zugriff auf diverse Dinge im 2. Subnetz hinter dem WRT haben, so wie ich es auch schon vorher hatte, wo meine Endgeräte direkt hinter AG241 hingen. Dazu habe ich meine Portweiterleitung und -freigaben auf dem AG241 so eingerichtet, dass alle benötigen Ports 1:1 auf die IP des WRT geleitet werden und der WRT dann die eigentliche Portumsetzung macht. Der AG hat die IP 192.168.2.1 und der WRT von 192.168.2.2 (Außen) und 192.168.1.1 (Innen)
Beispiel vorher auf dem AG241:
Port 5000 -> Port 8080 von 192.168.1.24 (hat funktioniert)
Jetzt auf dem AG241 UND WRT:
Port 5000 -> Port 5000 von 192.168.2.2 (=WRT) und dort dann Port 5000 -> Port 8080 von 192.168.1.24 (geht nicht)
Leider funktioniert das nicht (Vorher mit nur einem Subnetz allerdings prima).
Hat jemand eine Idee, woran das liegen könnte? Bin mir auch nicht sicher, ob dies so überhaupt möglich ist bzw. an welchem Gerät der Fehler liegt. Immerhin hat es früher mit dem AG funktioniert. LinkLogger zeigt mir allerdings auch keinen ankommenden Traffic auf dem WRT an.
Zur Info: Der AG läuft unter Firmware "7.01.04-Phoenix" und der WRT unter "v4.71.1, Hyperwrt 2.1b1 + Thibor15c"
Danke vielmals
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141358
Url: https://administrator.de/contentid/141358
Printed on: April 19, 2024 at 19:04 o'clock
8 Comments
Latest comment
Die Frage die sich stellt ist ob du auf dem WRT NAT (Adress Translation ) machst oder transparent routest und ob du eine statische Route in das Netz hinter dem WRT auf dem AG eingetragen hast.
All das beschreibst du leider nicht und dann bleibt hier nur wildes Spekulieren und raten
Das solltest du also erstmal technisch klären bevor wir hier ins Eingemachte gehen !!
Anregungen zu einer richtigen Konfig für so ein Szenario findest du in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
All das beschreibst du leider nicht und dann bleibt hier nur wildes Spekulieren und raten
Das solltest du also erstmal technisch klären bevor wir hier ins Eingemachte gehen !!Anregungen zu einer richtigen Konfig für so ein Szenario findest du in diesem Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hallo aqui,
auf dem AG habe ich eine Statische Route in das Netz des WRT eingetragen. Auf dem WRT Richtung AG jedoch nicht. Dort habe "nur" im Standardsetup:
- Internet connection Type: "Static IP" mit den entsprechenden Daten eingestellt: IP 192.168.2.2 Mask 255.255.255.0 Gateway 192.168.2.1 DNS 192.168.2.1
Mir ist nicht klar, woran ich erkenne, ob der WRT NAT macht oder transparent routing. In der Routing table vom WRT ist das AG-Netz eingetragen, jedoch mit Gateway 0.0.0.0 (weil ich keine expliziete Route zusätzlich zu obigen Einstellungen angegeben habe).
Trotz allem werde ich mir mal Deine erwähnte Anleitung durcharbeiten.
auf dem AG habe ich eine Statische Route in das Netz des WRT eingetragen. Auf dem WRT Richtung AG jedoch nicht. Dort habe "nur" im Standardsetup:
- Internet connection Type: "Static IP" mit den entsprechenden Daten eingestellt: IP 192.168.2.2 Mask 255.255.255.0 Gateway 192.168.2.1 DNS 192.168.2.1
Mir ist nicht klar, woran ich erkenne, ob der WRT NAT macht oder transparent routing. In der Routing table vom WRT ist das AG-Netz eingetragen, jedoch mit Gateway 0.0.0.0 (weil ich keine expliziete Route zusätzlich zu obigen Einstellungen angegeben habe).
Trotz allem werde ich mir mal Deine erwähnte Anleitung durcharbeiten.
Der WRT macht immer NAT sofern du die Standard Firmware benutzt ! In der Original FW ist das NICHT abschaltbar...leider. Ggf. ist es besser wenn du die alternative Firmware dd-wrt flashst, denn damit kannst du transparentes Routing aktivieren, was mit der Original SW nicht mögich ist.
Dadürch kannst du die NAT Firewall des ersten Routers nicht überwinden und kannst nur für einzelne Rechner und Dienste mit Port Forwading arbeiten...also weniger schön.
Die Problematik ist hier genau erklärt:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
(Abschnitt "Internes" !)
Wenn dein WRT54 Modell es supportet solltest du die dd-wrt Firmware einspielen, denn sie bietet erheblich mehr Optionen für den WRT54.
Vorher aber genau checken ob dein WRT Model es supportet:
http://www.dd-wrt.de
Dadürch kannst du die NAT Firewall des ersten Routers nicht überwinden und kannst nur für einzelne Rechner und Dienste mit Port Forwading arbeiten...also weniger schön.
Die Problematik ist hier genau erklärt:
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
(Abschnitt "Internes" !)
Wenn dein WRT54 Modell es supportet solltest du die dd-wrt Firmware einspielen, denn sie bietet erheblich mehr Optionen für den WRT54.
Vorher aber genau checken ob dein WRT Model es supportet:
http://www.dd-wrt.de
Hallo,
ich habe schon ne alternative Firmware drauf (siehe auch mein 1. Post): HyperWRT Thibor. Außerdem möchte ich von der ungern auf ne andere umsteigen, da noch einige weitere WRT's mit genau dieser FW in Betrieb habe und keinen Mischmasch möchte.
Wenn ich jetzt mal davon ausgehe, dass auch mit Thibor NAT nicht abschaltbar ist (habe jedenfalls nichts gefunden) und ich nur einzele Rechner und Dienste mit Port Forwarding erreichen kann, dann möchte ich dies tun. Und eigentlich hatte ich ja die ganze Sache auch schon so konfiguriert.
In Deinem erwähnte Heise-Artikel ist eigentlich alles genauso beschrieben, wie ich es schon eingerichtet hatte. Vielleicht kannst Du bitte nochmal meinen Einleitungspost lesen, da steht eigentlich alles drin. Im Grunde möchte ich ganz simpel ein Portforwarding auf dem AG zum WRT und auf dem WRT eine Portumsetzung auf einzelne Clients machen.
ich habe schon ne alternative Firmware drauf (siehe auch mein 1. Post): HyperWRT Thibor. Außerdem möchte ich von der ungern auf ne andere umsteigen, da noch einige weitere WRT's mit genau dieser FW in Betrieb habe und keinen Mischmasch möchte.
Wenn ich jetzt mal davon ausgehe, dass auch mit Thibor NAT nicht abschaltbar ist (habe jedenfalls nichts gefunden) und ich nur einzele Rechner und Dienste mit Port Forwarding erreichen kann, dann möchte ich dies tun. Und eigentlich hatte ich ja die ganze Sache auch schon so konfiguriert.
In Deinem erwähnte Heise-Artikel ist eigentlich alles genauso beschrieben, wie ich es schon eingerichtet hatte. Vielleicht kannst Du bitte nochmal meinen Einleitungspost lesen, da steht eigentlich alles drin. Im Grunde möchte ich ganz simpel ein Portforwarding auf dem AG zum WRT und auf dem WRT eine Portumsetzung auf einzelne Clients machen.
Ok, dann musst du ganz sicher festellen ob deine Firmware NAT macht oder nicht !!!
Die Alternativen können es fast immer umschalten. Das ist z.B. bei dd-wrt die Option "Gateway" (NAT) oder "Routing" in den Systemsettings.
Ansonsten hilft immer schnell mal einen Wireshark reinzuhängen und die Pakete anzusehen was dort für Quell IP Adresse steht.
Ist es die 192.168.2.2 vom WRT WAN Port macht das teil NAT wenns die Original Absender IP vom LAN hinter dem WRT ist dann macht er logischerweise kein NAT !!
So oder so kann ein Wireshark Sniffertrace nicht schaden um mal zu checken wo diese Pakete abbleiben...
Generell funktioniert dieses Scenario aber problemlos...wenigstens mit dd-wrt..
Die Alternativen können es fast immer umschalten. Das ist z.B. bei dd-wrt die Option "Gateway" (NAT) oder "Routing" in den Systemsettings.
Ansonsten hilft immer schnell mal einen Wireshark reinzuhängen und die Pakete anzusehen was dort für Quell IP Adresse steht.
Ist es die 192.168.2.2 vom WRT WAN Port macht das teil NAT wenns die Original Absender IP vom LAN hinter dem WRT ist dann macht er logischerweise kein NAT !!
So oder so kann ein Wireshark Sniffertrace nicht schaden um mal zu checken wo diese Pakete abbleiben...
Generell funktioniert dieses Scenario aber problemlos...wenigstens mit dd-wrt..
Also ich kann in den Grundeinstellungen den Modus auf "Gateway" oder "Router" stellen und habe mom. Router eingestellt.
Edit: Auch mit Einstellung "Gateway" (lt. Anleitung, wenn das Gerät die Verbindung zum INet herstellt), geht es nicht.
Edit2: Egal, ob "Gateway" oder "Router" eingestellt ist, sagt mir Wireshark immer als Absenderadresse die interne LAN-Adresse des WRT. Getestet mit Surfen im Inet und Ping vom Client an den AG.
Edit: Auch mit Einstellung "Gateway" (lt. Anleitung, wenn das Gerät die Verbindung zum INet herstellt), geht es nicht.
Edit2: Egal, ob "Gateway" oder "Router" eingestellt ist, sagt mir Wireshark immer als Absenderadresse die interne LAN-Adresse des WRT. Getestet mit Surfen im Inet und Ping vom Client an den AG.
Kann mir hier keiner weiterhelfen?
Das kann 2 Ursachen haben ! Vermutlich ist dein Internet Router AG241 der böse Buhmann.
Du hast ja 2 Szenarien:
1.) Im Modus "Gateway" machst du NAT am 2ten Router und am Internet Router kommen alle Packete aus dem Netz am 2ten Router mit einer lokalen IP des Internet Segments an.
2.) Im Modus "Router" routet der 2te Router transparent und alle Packete aus dem LAN am 2ten Router kommen am Internet Router auch mit diese IP Adresse an. Der Internet Router benötigt zwangsweise eine statische Route für das LAN an Router 2 !
Wenn du nun ein Port Forwarding machst im Modus 1. dann musst du die eingehenden Pakete am Internet Router auf die statische IP des WAN Interfaces des Router 2 forwarden !
Da diese Pakete hier wiederum eine NAT Firewall überwinden müssen muss an Router 2 ebenfalls wieder eine Port Forwarding dieser Pakete/Ports an das Endgerät im lokalen LAN Router 2 gemacht werden.
Bei Szenario 2 müsste das Port Forwarding am Router 2 auf die Endgeräte IP im lokalen LAN, Router 2 zeigen. Hier gibt es aber oft ein Problem:
Die Masse der Billigrouter kann KEIN Port Forwarding machen an IP Adressen die NICHT im lokalen LAN liegen !
Das ist bei dir vermutlich der Fall so das der Modus "Router" vermutlich von vorn herein zum Scheitern verurteilt ist.
Wie du siehst spekulieren wir hier aber nur wild in der Gegend rum weil du diese Information nicht liefern kannst
Nimm dir also einen freien Wireshark Sniffer und sieh dir die Pakete an die der Internet Router im Modus 1. und 2. forwardet von einer remoten Verbindung.
Dann weisst du ganz genau wie sich dein Internet Rozuer verhält und man kann weiterforschen.
Vermutlich kommt man dann nur im Gateway Modus weiter...Vermutlich... Sniffer das also dann wissen wir mehr...
Du hast ja 2 Szenarien:
1.) Im Modus "Gateway" machst du NAT am 2ten Router und am Internet Router kommen alle Packete aus dem Netz am 2ten Router mit einer lokalen IP des Internet Segments an.
2.) Im Modus "Router" routet der 2te Router transparent und alle Packete aus dem LAN am 2ten Router kommen am Internet Router auch mit diese IP Adresse an. Der Internet Router benötigt zwangsweise eine statische Route für das LAN an Router 2 !
Wenn du nun ein Port Forwarding machst im Modus 1. dann musst du die eingehenden Pakete am Internet Router auf die statische IP des WAN Interfaces des Router 2 forwarden !
Da diese Pakete hier wiederum eine NAT Firewall überwinden müssen muss an Router 2 ebenfalls wieder eine Port Forwarding dieser Pakete/Ports an das Endgerät im lokalen LAN Router 2 gemacht werden.
Bei Szenario 2 müsste das Port Forwarding am Router 2 auf die Endgeräte IP im lokalen LAN, Router 2 zeigen. Hier gibt es aber oft ein Problem:
Die Masse der Billigrouter kann KEIN Port Forwarding machen an IP Adressen die NICHT im lokalen LAN liegen !
Das ist bei dir vermutlich der Fall so das der Modus "Router" vermutlich von vorn herein zum Scheitern verurteilt ist.
Wie du siehst spekulieren wir hier aber nur wild in der Gegend rum weil du diese Information nicht liefern kannst
Nimm dir also einen freien Wireshark Sniffer und sieh dir die Pakete an die der Internet Router im Modus 1. und 2. forwardet von einer remoten Verbindung.
Dann weisst du ganz genau wie sich dein Internet Rozuer verhält und man kann weiterforschen.
Vermutlich kommt man dann nur im Gateway Modus weiter...Vermutlich... Sniffer das also dann wissen wir mehr...
